diginto · 2020. 9. 13. · 9. 2020-09-14 gonzalo rivera ... öppna ett dokument, besöka en...
TRANSCRIPT
-
DIGINTO
Nätverkssäkerhet2020-09-14 1
-
Gonzalo Rivera ©9/14/2020
• fdfkdökfl
Network Security?
2
-
Gonzalo Rivera ©2020-09-14
jldjfljfle
3
-
Gonzalo Rivera ©2020-09-14
Vad vill skydda egentligen?
4
-
Gonzalo Rivera ©2020-09-14
Tillämpning av protokoll, teknik, verktyg och säkerhetsmekanismer.
Förebygga eventuella attacker och minimera realtidsattackers effekt.
Det handlar inte om att isolera ett nätverk.
Det handlar att hålla bort obehörig åtkomst, att skydda nätverket med robusta system.
Det gäller att hålla sig uppdaterad.
Vad innebär nätverkssäkerhet?
5
-
Gonzalo Rivera ©2020-09-14
1. Vilka utövar egentligen ”hacking”
2. Vad är de efter?
3. Vilka faser att tänka på gällande cybersäkerhet?
4. Vad kan du göra i förebyggande fasen?
5. Vad är och gör FireEye?
6. https://www.youtube.com/watch?v=O5R4XHw0PQ0
Att förstå grunder om Cybersäkerhet
6
https://www.youtube.com/watch?v=O5R4XHw0PQ0
-
Gonzalo Rivera ©2020-09-14
1. Hur fungerar FireEye Network Security?
2. Vad menas med next-generation firewalls, IPS och SWG?
3. https://www.fireeye.com/content/dam/fireeye-www/products/pdfs/pf/web/fireeye-network-threat-prevention-platform.pdf
Att förstå grunder om Cybersäkerhet
7
https://www.fireeye.com/content/dam/fireeye-www/products/pdfs/pf/web/fireeye-network-threat-prevention-platform.pdf
-
Gonzalo Rivera ©2020-09-14
1. Vad för koncept har Cisco gällande säkerhet?
2. Vilka fyra säkerhetsprodukter ingår i SecureX plattform?
3. Hur säkrar Cisco ett nätverk?
4. Vilka Cisco produkter säkrar ett nätverk?
5. Hur fungerar Cisco ISE?
6. https://www.cisco.com/c/en/us/products/security/index.html
Cisco Security
8
https://www.cisco.com/c/en/us/products/security/index.html
-
Gonzalo Rivera ©2020-09-14
1. Keith Barker leder oss inne i cybersäkerhet.
2. Han förklarar konceptet och tar upp nya begrepp.
3. https://www.youtube.com/watch?v=ULGILG-ZhO0
Inledning till cybersäkerhet
9
-
Gonzalo Rivera ©2020-09-14
Metoder som angripare använder för att komma åt målet.
Stegen som angripare följer i sitt attack, en egen strategi.
Som exempel visar diagrammet nedan de viktigaste typerna av attackvektorer riktad till industriella nätverk:
Vilka utför attacker mot industriella nätverk?
Missnöjda anställda
Individer / Små grupper / Hackaktivister
Konkurrenter
Cyberkriminella grupper
Terrorister
Religiösa fanatiker
Underrättelsetjänster / regeringar
Attackvektorer
10
-
Gonzalo Rivera ©2020-09-14
Skickliga programmerare med kunskap om datorsystem, programmering, nätverk, informationslagring och datasäkerhet.
Ethical hacker – identifierar/eliminerar svagheter i ett system
Cracker – stjäler data, överför pengar till sitt eget bankkonto
Grey – befinner sig mellan ethical och cracker
Script kiddies – en som använder befintliga hacker verktyg
Hacktivist – framför sociala/religiösa/politiska meddelande
Vulnerability Brokers –
Cyber Criminals –
State-Sponsored hacker -
Hacker - hackare
11
-
Gonzalo Rivera ©2020-09-14
Threat map
Vulnerability
Mitigation
Risk, risk assessment
Phishing
Malware
Exploit
Code injection
DoS
Social engineering
APT Advanced Persistent threat
Zero-Day Exploit
Integrity
Countmeassure
Cookies
Begrepp inom nätverkssäkerhet
12
https://cybermap.kaspersky.com/
-
Gonzalo Rivera ©2020-09-14
Automatiserade sårbarhetsscanningar identifierar och klassificerar sårbarheter i datorer, nätverk och applikationer.
Sårbarhetsscanningar:
autentiserad och icke-autentiserad
Testar säkerhetskontroller
Identifierar sårbarheter
Identifierar felaktiga konfigurationer
Behörig och obehörig åtkomst
Penetration testning:
Verifiera om hot existerar (RISK)
Testar säkerhetskontroller
Utnyttjande av identifierade sårbarheter
Penetrationstestrapport inkluderar konkreta slutsatser, tydliga och precisarekommendationer.
Vulnerability - Sårbarhet
13
Hot
Sårbarhet
RISK
Countermeasure
Vulnerability
-
Gonzalo Rivera ©2020-09-14
Nätfiske är en attackmetod som går ut på att via mail, SMS, eller chatt lura mottagaren att öppna ett dokument, besöka en webbplats eller ladda ner en fil.
Målet är att infektera enheten med skadlig kod och/eller komma över höga behörigheter.
Några vanliga exempel på phishing är att:
En angripare utger sig för att vara en bank som mailar att användaruppgifterna snarast måste kontrolleras eller uppdateras.
En angripare utger sig för att vara en säkerhetsspecialist från en viss bank och ber mottagaren bekräfta kontouppgifter, annars spärras kortet.
En angripare utger sig för att vara från Skatteverket och uppmanar mottagaren att klicka på en länk för att få direkt tillgång till skatteåterbäringen.
En angripare utger sig för att jobba åt ett spelbolag och han vill berätta att mottagaren har vunnit en stor lotterivinst, men att det krävs vissa åtgärder för att lotterivinsten kunna betalas ut.
Phishing - nätfiske
14
-
Gonzalo Rivera ©2020-09-14
Social Engineering, eller social ingenjörskonst på svenska, handlar om att manipulera människor så att de lämnar ifrån sig konfidentiell information.
De som ägnar sig åt Social Engineering utger sig ofta för att vara en person med hög befogenhet som befinner sig i en tidspressad situation.
Genom att låtsas att de behöver hjälp lurar de anställda så att de vinner tillträde till system eller information som de inte ska kunna komma åt.
Social Engineering – Social manipulation
15
-
Gonzalo Rivera ©2020-09-14
Termen ”malware” är en kombination av orden ”malicious” och ”software” och är program som kriminella har skrivit i syfte att infektera datorer och andra enheter.
Kriminella gör sitt yttersta för att ta kontroll över din dator och utnyttja den på olika sätt, exempelvis spionera på din aktivitet, stjäla användaruppgifter hota att avslöja personliga uppgifter, kräva pengar eller använda ditt system för att attackera andra.
Trojaner
Spyware
Maskar
Ransomware
Adware
Scareware
Malware – skadlig programvara
16
-
Gonzalo Rivera ©2020-09-14
Cookies är textbaserade små filer som sparas ner i din dators minne när du är inne på en hemsida.
Det finns två olika typer av cookies.
Den ena typen sparas i din hårddisk under en längre tidperiod.
Dessa cookies kommer med ett visst utgångsdatum och när det datumet har passerats så raderas de automatiskt från din dators minne.
Den andra sortens kallas för sessioncookies som raderas när du stänger ner din webbläsare.
Cookies
17
-
Gonzalo Rivera ©2020-09-14
Skadlig programvara som ofta låtsas vara legitim.
Användarna blir ofta lurade att läsa in och köra trojaner på datorerna med någon typ av social manipulation.
När trojanerna är aktiverade kan cyberbrottslingar spionera på dig, stjäla känsliga uppgifter och skapa bakdörrar in i systemet.
Trojaner kan:
Ta bort data
Blockera data
Ändra data
Kopiera data
Störa funktionen för datorer eller datornätverk
Trojan horse
18
-
Gonzalo Rivera ©2020-09-14
Bakdörr - fjärrkontroll över den smittade datorn, används ofta för att skapa ett botnät eller zombie-nätverk.
Kryphålsprogram - utnyttjar en sårbarhet i ett program.
Rootkit - Rootkits kan hindra att skadlig programvara upptäcks.
Banktrojan - Banktrojaner har utformats för att stjäla kontoinformationen till ditt bankkonto online, e-betalningssystem och kredit- och kontokort.
DDoS-trojaner - utför överbelastningsattacker.
Filhämtande trojaner - kan hämta och installera nya versioner av skadliga program på datorn, till exempel annonsprogram.
Typer av trojaner
19
-
Gonzalo Rivera ©2020-09-14
Nätverksspelstrojaner - stjäl användares kontoinformation.
Utpressningstrojaner - återställer din dators funktion eller låser upp dina data enbart efter att du har betalat den lösensumma de kräver.
SMS-trojaner - De här programmen kan kosta pengar för dig genom att de skickar textmeddelanden från din mobila enhet till betaltelefonnummer.
Spiontrojaner - kan spionera på hur du använder din dator
E-postinsamlande trojaner - kan hämta e-postadresser från din dator.
Zeus Trojan - En otäck liten trojan som har använts av botnet-operatörer runt om i världen.
Med Zeus kan man stjäla bankuppgifter och andra personuppgifter, delta i klick-bedrägerier, och troligt många andra kriminella företag.
Det är motorn bakom ökända botnet som Kneber, som nyligen har gjort rubriker över hela världen.
Typer av trojaner
20
https://www.zdnet.com/article/the-kneber-botnet-faq/
-
DIGINTO
Nätverkssäkerhet2020-09-14 21
-
Gonzalo Rivera ©2020-09-14
Experter från det amerikanska säkerhetsföretaget Sans Institute passade på att lista de sju områden som skrämmer de allra flesta vad gäller säkerhetsproblem (2019):
1. Ransomware
2. Iot, sakernas internet.
3. Kombinationen av ransomware och iot.
4. Attacker mot industrilösningar för iot.
5. Dålig slumpmässig generering av lösenord.
6. Övertro på webbaserade tjänster.
7. Attacker mot nosql-databaser, liknande ”sql injections” mot äldre relationsdatabaser.
Nästa konferens blir in San Francisco.
RSA konferens
22
-
Gonzalo Rivera ©2020-09-14
Attackers har utnyttjat en ”bajillion” identiteter.
De loggar in som kunder hos infrastrukturleverantörer
Ändrar DNS-poster för att peka på onda webb- och postservrar.
Angripare samlar e-post ...
Och registrerar sig för ett TLS-certifikat från Comodo
Och de aldrig tar paus!
Utmärkt rapportering av Cisco Talos (DNSpionage), FireEye, CrowdStrike och Brian Krebs
DNS Name System Mischief
23
https://talosintelligence.com/https://www.fireeye.com/https://www.crowdstrike.com/
-
Gonzalo Rivera ©2020-09-14
Tvåfaktorautentisering för alla
Hantering av infrastruktur
DNSSEC
Kom ihåg att både underteckna OCH validera poster
Återkalla eventuella dåliga certifikat ASAP
Se tillkännagivanden om DNS-uppdateringar
och certifikatregistreringar
DNS: gratis 50 frågor per månad kl
SecurityTrails
Certs: gratis på https://crt.sh och
https://www.entrust.com/ct-search
DNS försvarsteknik
24
-
Gonzalo Rivera ©2020-09-14
Vissa tycker att detta är svårt för angripare ... det är faktiskt inte!
Vissa tror att det här är säkrad ... det är faktiskt inte!
DNS är mycket användbart för angripare som försöker dölja kommandokontroll- och kontrollkanaler och filtrera bort komprometterade data.
Domän fronten
25
Lokal DNS system
under attack
Betrodd webbplats
Angriparens webbserver
Angripares egen server
TLS uppkoppling
HTTP 1.1 Host: Header
DNS ResolutionBetrodd webbplats
Kommando och styr samt datafiltrering
-
Gonzalo Rivera ©2020-09-14
Defensiv eller offensiv försvarsteknik?
Defensiv säkerhet – Försvarsteknik t e antivirus, antimalware
Offensiv säkerhet – simulering av hack-attacker så att man kan attackera tillbaka, men betraktas som cyber-brott.
Att skydda ett nätverk
26
Defensive Security Offensive Security
IINS - Cisco
CCSP - Cisco
CCIE- Cisco
Ethical Hackning
WAPT
others
-
Gonzalo Rivera ©2020-09-14
Att skydda ett nätverk
27
-
Gonzalo Rivera ©2020-09-14
Nätverkssäkerheten är det primära ansvaret för alla nätverksanvändare.
Användare bör utbildas kring alla möjliga nätverkssäkerhetsfrågor.
Interna hot
Organisationernas personal har oftast direkt tillgång till nätverksresurser och kanske kunskap om företagets nätverks uppbyggande och fungerande.
En missnöjd anställd kan utnyttja behörigheter och gällande protokoll med syfte att påverka nätverkets infrastruktur eller komma åt hemlig information.
Att skydda nätverket
28
-
Gonzalo Rivera ©2020-09-14
För att garantera nätverkssäkerheten krävs professionella yrkeskunniga säkerhetsspecialister som ska ständigt vara medvetna om nya och framväxande hot och attacker till nätverk.
Dessa specialister har i fokus de mest sårbara enheter, nätverksanvändare och deras applikationer.
Något förslag på hur man kan bli säkerhets specialist?
Att skydda nätverket
29
-
Gonzalo Rivera ©2020-09-14
Intrusion Detection System – intrångsdetekteringssystem 1984
Övervakar all inkommande och utgående nätverksaktivitet och identifierar eventuella misstänkta attackmönster.
Nätverkssäkerhetsspecialister kan minska effekterna.
Ett passivt övervakningssystem som detekterar och varnar vid misstänkta aktivitet.
Från billiga shareware eller fritt distribuerade program till en mycket dyrare och säker leverantörsprogramvara.
Från programvaror och hårdvaruapparater till sensorer på strategiska platser.
Att skydda nätverket
30
-
Gonzalo Rivera ©2020-09-14
IPS upptäcker skadlig aktivitet och automatiskt blockerar det.
IPS tillhandahåller säkerhet från OS till datapaket.
Signaturbaserad detektion
Anomalibaserad detektion
Reputation-baserad detektion
För närvarande finns det två typer av IPS:
host-baserade HIPS
nätverksbaserade NIPS
IDS och IPS kan implementeras i Cisco IOS
Skillnader mellan IDS och IPS
IDS informerar om en eventuell attack
IPS kan stoppa den.
Att skydda nätverket – IPS 1998
31
-
Gonzalo Rivera ©2020-09-14
Keith Barker förklarar skillnaden mellan IDS och IPS samt två olika implementationer.
Det ger också fördelar och nackdelar.
Att skydda nätverket
32
-
Gonzalo Rivera ©2020-09-14
1988, Digital Equipment Corporation (DEC) skapade den första nätverks brandvägg i form av ett paketfilter.
Dessa tidiga brandväggar inspekterade paket för att se om styrinformation i paketen matchade fördefinierade regler.
Beroende på kontrollmekanismers resultat kunde brandväggar ta beslutet om att vidarebefordra eller ta paketen bort från nätet.
Utveckling i nätverkssäkerhet
33
-
Gonzalo Rivera ©2020-09-14
Avlastar routrars brandväggsfunktioner.
Brandväggsfunktioner baserade på flera filter.
Hoten blev mer sofistikerade därmed filter inte tillräckliga.
Det krävs effektiva försvarsmekanismer som larmar direkt intrång.
Av denna anledning utvecklade Cisco Security Intelligence Operations (SIO) ASA brandvägg.
SIO är en molnbaserad tjänst som identifierar globala hot och samlar information kring deras beteende.
ISA 3000
Industrial Security Appliance
Dedikerade brandväggar
34
-
Gonzalo Rivera ©2020-09-14
Vad är brandväggar?
Keith Barker besvarar frågan och förklarar några termer som förklaras av Keith Barker:
Rules and exceptions
Trusted network and Untrusted network
DLP – Data Loss Prevention
NGFW – New Generation FW
UTM – Unified ThreatManagement
IPS/IDS
URL filtering
Dedikerade brandväggar
35
-
DIGINTO
Nätverkssäkerhet2020-09-14 36
-
Gonzalo Rivera ©2020-09-14
Cisco ASA 5505 är en relativ liten men stark brandvägg.
Cisco ASA 5500-serien erbjuder intelligent försvar som stoppar attacker innan de tränger in i nätverksgränser, kontrollerar nätverks- och applikationsaktivitet och ger säker fjärråtkomst och anslutning.
Cisco ASA 5505 stödjer SSL och IPsec VPN
Med hjälp av den integrerade Cisco ASDM kan Cisco ASA 5505 konfigurationer snabbt distribueras och enkelt hanteras.
Cisco ASA 5505 har 8-port 10/100 Fast Ethernet-switch, vars portar kan dynamiskt grupperas för att skapa upp till tre separata VLAN.
Cisco ASA 5505 tillhandahåller två Power over Ethernet (PoE) –portar.
Cisco ASA 5505
37
https://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/data_sheet_c78-345385.html
-
Gonzalo Rivera ©2020-09-14
Denna brandvägg har 8 Ethernet portar numrerade från höger till vänster.
Säkerhetsnivåer: Hög = Inside 100 och LÅG = Outside 0
Säkerhetskonfigurationer kan kombineras med NAT och ACL
På insidan körs en lokal DHCP server.
Cisco ASA 5505
38
07
INSIDE
OUTSIDE
PoE PoE
-
Gonzalo Rivera ©2020-09-14
Det kräver IOS version 15 på vissa Cisco routrar för att få brandväggfunktioner.
Cisco IOS-nätverkshanterare såsom switchar och routrar använder vanligtvis sitt flashminne för att lagra IOS-image.
På de flesta routrar kan detta flashminne enkelt bytas ut.
Men på vissa switchar är flashminnet integrerat i moderkortet och det kan inte bytas ut.
Steg 1: Välj en Cisco IOS Image. ...
Steg 2: Ladda ned Cisco IOS Image till TFTP Server. ...
Steg 3: Identifiera filsystemet ditt IOS-image ska kopieras.
Steg 4: Förberedd uppgraderingen
Steg 5: Verifiera kommunikationen mellan router/switch och TFTP server
Ste6 6: Kopiera IOS image till router/switch
Brandväggfunktioner i Packet Tracer
39
-
Gonzalo Rivera ©2020-09-14
En TFTP server, en 2960 switch och en router 2811
Switch# dir
Från: c2960-lanbase-mz.122-25.FX.bin
Till: C2960-lanbasek9-mz.150-2.se4.bin
Router# show version
Från: c2800nm-advipservicesk9-mz.124-15.T1.bin
Till: C2800NM-ADVIPSERVICESK9-MZ.151-4.M4.bin
Konfigurera FTP server där finns som default användarkonto: cisco lösenord: cisco
Enklare om man använder TFPT server som inte kräver autentiseringsuppgifter.
Demo: Uppgradera cisco IOS
40
-
Gonzalo Rivera ©2020-09-14
Switch(config)# int vlan 1
Switch(config-if)# ip address 192.168.0.3 255.255.255.0
Switch(config-if)# no shut
Switch(config-if)# exit
Switch(config)# ip default-gateway 192.168.0.1
!
Router(config)# int fa0/0
Router(config-if)# ip address 192.168.0.1 255.255.255.0
Router(config-if)# no shut
Demo: Uppgradera cisco IOS
41
-
Gonzalo Rivera ©2020-09-14
Router# dir – eller – dir flash:
Oftast behöver man rensa flash-minnet först!
Router# copy tftp: flash:Address or name of remote host []? 192.168.0.2
Source filename []? c2800nm-advipservicesk9-mz.151-4.M4.bin
Destination filename [c2800nm-advipservicesk9-mz.151-4.M4.bin]? (visar error i slutet)
Router# delete c2800nm-advipservicesk9-mz.124-15.T1.bin
Delete filename [c2800nm-advipservicesk9-mz.124-15.T1.bin]?
Delete flash:/ c2800nm-advipservicesk9-mz.124-15.T1.bin? [confirm]
Router# copy tftp: flash:Address or name of remote host []? 192.168.0.2
Source filename []? c2800nm-advipservicesk9-mz.151-4.M4.bin
Destination filename [c2800nm-advipservicesk9-mz.151-4.M4.bin]?
Demo: Uppgradera cisco IOS
42
-
Gonzalo Rivera ©2020-09-14
Switch# dir – eller – dir flash:
Switch# copy tftp: flash:
Address or name of remote host []? 192.168.0.2
Source filename []? C2960-lanbasek9-mz.150-2.se4.bin
Destination filename [C2960-lanbasek9-mz.150-2.se4.bin]?
Kopieringen startar bra men i slutet misslyckas.
Switch(config)# boot system C2960-lanbasek9-mz.150-2.se4.bin
Switch(config)# exit
Switch# write
Switch# reload
Demo: Uppgradera cisco IOS
43
-
DIGINTO
Nätverkssäkerhet
2020-09-14 44
-
Gonzalo Rivera ©2020-09-14
1989, AT & T Bell Laboratories utvecklade en stateful brandvägg.
Stateful brandväggar kan identifiera etablerade kontakter mellan kommunicerande enheter och avgöra om ett paket tillhör en existerande dataflöde.
Utveckling i nätverkssäkerhet
45
-
Gonzalo Rivera ©2020-09-14
Tre initierande kommando:
nameif –
Den måste ha ett namn
Namnet är inte case-sensitive
Det angivet namn behålls i konfigurationer
Säkerhetsnivåer –
Numeriske värde från 0 till 100
Det övervakar nätverkstrafik som passerar brandväggen.
Alla namn tilldelas säkerhetsnivå 0 förutom namnet inside som tilldelas 100
IP adressering
Samma konfiguration som gäller för routrar
Ifall man kör default IP adressering kan man hoppa över nätmasken.
Cisco ASA 5505 - grundkonfigurationer
46
-
Gonzalo Rivera ©2020-09-14
show run interface -
Cisco ASA 5505 - grundkonfigurationer
47
-
Gonzalo Rivera ©2020-09-14
Sårbarhetsscanningar är automatiserade verktyg som identifierar och klassificerar sårbarheter i datorer, nätverk och applikationer genom att matcha dem mot redan kända systembrister.
Det kan till exempel handla om system som patchar och använder föråldrade eller osäkra protokoll, certifikat och tjänster.
Penetration test
Vulnerability - Sårbarhet
48